Tor Project ออกแพตซ์อุดช่องโหว่ที่ทำให้ IP จริงของผู้ใช้งาน Tor Browser เวอร์ชัน 7.0.8 บน macOS และ Linux รั่วไหลออกสู่สาธารณะ เตือนให้ผู้ใช้งานอัปเดต Browser เวอร์ชันล่าสุดโดยด่วน
Tor Project ได้โพสต์ว่า “สืบเนื่องจาก Bug ที่เกิดขึ้นใน Firefox Browser เกี่ยวกับการจัดการ ‘file://’ URLs ซึ่งมีความเป็นไปได้ที่ข้อมูล IP ของผู้ใช้งานจะสามารถรั่วไหลได้ โดยเมื่อผู้ใช้งานใส่ URL แบบพิเศษนี้ลงไปในหน้า Browser ระบบปฏิบัติการจะ Bypass Tor Browser ไปยังเครื่อง Host โดยตรง” เนื่องจาก Tor Browser ตั้งอยู่บน Firefox อีกทีหนึ่ง แม้ว่าโพสต์จะบอกว่าผู้ใช้งาน Tails หรือการใช้งาน Browser ที่มีฟังชันก์ AppArmor และการใช้งาน Tor Browser Sandbox จะไม่ได้รับผลกระทบในครั้งนี้ แต่ยังไม่เป็นที่แน่ชัดว่าเวอร์ชันก่อนหน้า 7.0.8 ได้รับผลกระทบด้วยหรือไม่
ผู้ค้นพบช่องโหว่นี้คือ Fillipo Cavallarin CEO จาก We Are Segment ได้แจ้งเตือนไปยัง Tor Project เมื่อวันที่ 26 ตุลาคม 2017 และทีมงาน Tor ก็ได้รับความช่วยเหลือจากที Mozilla เพื่อแก้ปัญหานี้ชั่วคราวในวันถัดมา ต่อมาวันที่ 31 ตุลาคม ทางทีม Tor ก็ได้ออกแก้ไขเพิ่มเติมให้ทุกรอยรั่วที่รู้ โดยทีมงาน Tor กล่าวว่า “Tor Browser เวอร์ชัน 7.0.9 นั้นเป็นเพียงการแก้ไขปัญหาชั่วคราวจากการรั่วไหลของ IP ที่อาจจะเกิดขึ้นได้จากการใส่ file://URLs ไม่ให้เกิดผลอย่างที่คิดกันไว้ และทีมงานคาดว่าจะออกแพตซ์เพิ่มเติมบน MacOS และ Linux สำหรับ Browser 7.0.9 เวอร์ชัน Alpha ภายในวันที่ 6 พฤศจิกายนนี้ ”
Tor Project ได้ออกโครงการ Bug Bounty เมื่อเดือนกรกฎาคม เพื่อสนับสนุนให้นักวิจัยด้านความปลอดภัยแจ้งเตือนปัญหาที่พบภายใน Software มาที่ทีมงานแบบไม่เปิดเผย โดยโครงการนี้จะเปิดโอกาสให้กับนักล่า Bug ทุกคนผ่านหน้าเพจ HackerOne ไม่หมือนกับโครงการก่อนหน้าที่เปิดเฉพาะผู้ที่ได้รับคำเชิญเท่านั้น
ที่มา : https://threatpost.com/tor-browser-users-urged-to-pathch-critical-tormoil-vulnerability/128769